一种权限配置方法、系统、装置及计算机可读存储介质与流程

1.本发明涉及系统配置技术领域，特别是涉及一种权限配置方法、系统、装置及计算机可读存储介质。


背景技术：

2.在操作系统，如windows系统中，为了保证系统的运行安全，需要对各个操作权限下的用户权限进行配置，以确定其是否具备访问权限。
3.现有技术中，为了实现上述配置采用的方法为依靠预先编写好的程序脚本inf文件，运行过程中调用secedit系统命令，以实现用户权限的配置处理。但是操作系统存在版本升级的情况，因此需要开发人员在每次版本升级时均对上述inf文件进行修改，以达到和新版本的操作系统的适配，最终实现用户权限配置的功能，但是该方法过于繁琐，不利于实际应用。


技术实现要素：

4.本发明的目的是提供一种权限配置方法、系统、装置及计算机可读存储介质，配置过程仅依靠操作系统本身提供的api设计而成，因此无需开发人员针对每次版本升级后的操作系统重新编写inf文件，更加简单方便，易于实现，通用性强。
5.为解决上述技术问题，本发明提供了一种权限配置方法，包括：
6.确定当前操作系统中各权限的初始配置信息；
7.基于各所述初始配置信息获取表征各所述权限的配置信息进行更新后的目标配置信息；
8.基于所述初始配置信息、所述目标配置信息及预设权限增删策略分别将各所述权限的初始配置信息更新至所述目标配置信息，所述预设权限增删策略根据所述操作系统的api预先确定。
9.优选的，确定当前操作系统中各权限的初始配置信息，包括：
10.分别根据各所述权限的标识信息调用表征权限配置查询的api，以确定当前操作系统中各权限的初始配置信息。
11.优选的，基于各所述初始配置信息获取表征各所述权限的配置进行更新后的目标配置信息，包括：
12.控制显示模块显示所述初始配置信息；
13.接收反馈的表征各所述权限的配置信息进行更新后的目标配置信息，其中，所述目标配置信息基于所述操作系统的目标安全等级和/或待配置用户请求分配的目标权限确定。
14.优选的，所述初始配置信息包括各已配置所述权限的用户的sid；
15.控制显示模块显示所述初始配置信息之前，还包括：
16.将所述用户的sid作为第一参数，调用第一转换工具，以将所述用户的sid转换成
对应的待显示字符串。
17.优选的，基于所述初始配置信息、所述目标配置信息及预设权限增删策略分别将各所述权限的初始配置信息更新至所述目标配置信息，包括：
18.针对第i个权限执行如下步骤，其中，1≤i≤所述权限的总个数：
19.s21：令j＝1；
20.s22：判断所述目标配置信息中是否存在所述初始配置信息中的第j个第一身份信息；若否，进入s23；若是，进入s24；
21.s23：基于表征权限移除的api将第j个第一身份信息移出，并进入s24；
22.s24：令j＝j 1，判断更新后的j是否大于所述初始配置信息中第一身份信息的总个数；若是，进入s25；若否，返回s22；
23.s25：令z＝1；
24.s26：判断所述初始配置信息中是否存在所述目标配置信息中的第z个第二身份信息；若否，进入s27；若是，进入s28；
25.s27：基于表征权限添加的api将第z个第二身份信息添加，并进入s28；
26.s28：令z＝z 1，判断更新后的z是否大于所述目标配置信息中第二身份信息的总个数；若是，结束循环；若否，返回s26。
27.优选的，基于表征权限移除的api将第j个第一身份信息移出之前，还包括：
28.调用句柄获取工具获取用于全局使用的句柄；
29.基于表征权限移除的api将第j个第一身份信息移出，包括：
30.将所述句柄、第j个第一身份信息及第i个权限的标识信息作为第二参数调用表征权限移除的api，以将第j个第一身份信息移出第i个权限的初始配置信息；
31.基于表征权限添加的api将第z个第二身份信息添加，包括：
32.将所述句柄、第z个第二身份信息及第i个权限的标识信息作为第三参数调用表征权限添加的api，以将第z个第二身份信息添加至第i个权限的初始配置信息中。
33.优选的，当所述目标配置信息中的第z个第二身份信息为目标字符串时；
34.判断所述目标配置信息中是否存在所述初始配置信息中的第j个第一身份信息之前，还包括：
35.以第z个第二身份信息为第四参数，调用第二转换工具，以将第z个第二身份信息转换成对应的sid。
36.为解决上述技术问题，本发明还提供了一种权限分配系统，包括：
37.第一确定单元，用于确定当前操作系统中各权限的初始配置信息；
38.第一获取单元，用于基于各所述初始配置信息获取表征各所述权限的配置信息进行更新后的目标配置信息；
39.第一配置单元，用于基于所述初始配置信息、所述目标配置信息及预设权限增删策略分别将各所述权限的初始配置信息更新至所述目标配置信息，所述预设权限增删策略根据所述操作系统的api预先确定。
40.为解决上述技术问题，本发明还提供了一种权限分配装置，包括：
41.存储器，用于存储计算机程序；
42.处理器，用于执行如上述所述的权限分配方法的步骤。
43.为解决上述技术问题，本发明还提供了一种计算机可读存储介质，包括：
44.所述计算机可读存储介质上存储有计算机程序，所述计算机程序被处理器执行时实现如上述所述的权限分配方法的步骤。
45.本技术提供了一种权限配置方法、系统、装置及计算机可读存储介质，操作系统的api作为该操作系统的基本功能配置，是最底层的应用程序接口而无需用户配置，因此，基于操作系统的api确定预设权限增删策略，于是，首先确定当前操作系统中各权限的初始配置信息，基于各初始配置信息，可获取表征各权限的初始配置信息进行更新后的目标配置信息，进而基于初始配置信息、目标配置信息及预设权限增删策略，分别将各权限的配置信息更新至所述目标配置信息，相较于现有技术，该配置过程仅依靠操作系统本身提供的api设计而成，因此无需开发人员针对每次版本升级后的操作系统重新编写inf文件，更加简单方便，易于实现，通用性强。
附图说明
46.为了更清楚地说明本发明实施例中的技术方案，下面将对现有技术和实施例中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。
47.图1为本发明提供的一种权限配置方法的流程图；
48.图2为本发明提供的一种将第i个权限的配置信息更新至目标配置信息的流程图；
49.图3为本发明提供的一种权限配置系统的结构示意图；
50.图4为本发明提供的一种权限配置装置的结构示意图。
具体实施方式
51.本发明的核心是提供一种权限配置方法、系统、装置及计算机可读存储介质，配置过程仅依靠操作系统本身提供的api设计而成，因此无需开发人员针对每次版本升级后的操作系统重新编写inf文件，更加简单方便，易于实现，通用性强。
52.为使本发明实施例的目的、技术方案和优点更加清楚，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。
53.请参照图1，图1为本发明提供的一种权限配置方法的流程图。
54.考虑到在操作系统中，为了保证该操作系统的运行安全，需要对各操作权限(如系统操作权限)下的用户权限进行配置，以明确各用户是否具备访问权限。而现有技术中为了实现上述用户权限配置，需要预先编写inf文件，该文件运行过程中会调用secedit系统命令，进而实现上述目的。但是，在操作系统的版本更新之后，均需要重新修改inf文件中编写的程序脚本，以和当前的操作系统的版本适配，导致上述方法过于繁琐，受限于操作系统版本的制约，不利于实际应用。为解决上述技术问题，本技术提供了一种权限配置方法，简单方便、易于实现，通用性强。
55.该权限配置方法，包括：
56.s11：确定当前操作系统中各权限的初始配置信息；
57.该权限配置方法可应用于各种计算机设备，包括但不限于服务器等；且具体可应用于该计算机设备中的安全基线项目的用户权限配置，在此不作特别的限定。于是，具体的，在接收到表征权限配置的第一标识信号时，确定当前操作系统中各权限(如系统操作权限)的初始配置信息，且该第一标识信号可以由管理员在用户交互界面输入。
58.此外，所述初始配置信息可以为拥有该权限的所有用户的sid信息(即用户唯一安全标识符)。
59.s12：基于各初始配置信息获取表征各权限的配置信息进行更新后的目标配置信息；
60.具体的，可输出所述初始配置信息，以便用户对于当前各初始配置信息进行更新后，返回目标配置信息。
61.s13：基于初始配置信息、目标配置信息及预设权限增删策略分别将各权限的初始配置信息更新至目标配置信息，预设权限增删策略根据操作系统的api预先确定。
62.具体的，考虑到操作系统的api作为该操作系统的基本功能配置，是最底层的应用程序接口而无需用户配置，通过调用即可实现对应功能。因此，基于操作系统的api确定预设权限增删策略，进而基于初始配置信息、目标配置信息及预设权限增删策略，分别将各权限的初始配置信息更新至目标配置信息。
63.综上，本技术提供了一种权限配置方法，基于操作系统的api作为最底层的应用程序接口而无需用户配置，预先确定预设权限增删策略，最终将各权限的初始配置信息更新至所述目标配置信息。相较于现有技术，该配置过程仅依靠操作系统本身提供的api设计而成，因此无需开发人员针对每次版本升级后的操作系统重新编写inf文件，摒弃了现有技术中传统的依靠系统命令实现用户权限的配置的缺陷，更加简单方便稳定，易于实现，通用性强。
64.在上述实施例的基础上：
65.作为一种优选的实施例，确定当前操作系统中各权限的初始配置信息，包括：
66.分别根据各权限的标识信息调用表征权限配置查询的api，以确定当前操作系统中各权限的初始配置信息。
67.本实施例中，给出了确定当前操作系统中各权限的初始配置信息的步骤，即，不同的权限具有唯一的标识信息，于是对于任一个权限来说，根据该权限的标识信息调用表征权限配置查询的api，进而得到该权限当前的初始配置信息，以windows操作系统为例，可基于lsaenumerateaccountswithuserright这一系统api，以当前待查询的权限的标识信息作为输入参数，调用该系统api，进而枚举出拥有该权限的所有用户的sid信息。
68.可见，通过上述调用系统api的方式确定当前操作系统中各权限的初始配置信息，较于现有技术，不受操作系统的版本的影响。
69.作为一种优选的实施例，基于各初始配置信息获取表征各权限的配置进行更新后的目标配置信息，包括：
70.控制显示模块显示初始配置信息；
71.接收反馈的表征各权限的配置信息进行更新后的目标配置信息，其中，目标配置信息基于操作系统的目标安全等级和/或待配置用户请求分配的目标权限确定。
72.本实施例中，给出了基于各初始配置信息获取表征各权限的配置进行更新后的目标配置信息的步骤，具体的，在确定当前操作系统中各权限的初始配置信息之后，首先控制显示模块显示所述初始配置信息，所述显示模块包括但不限于为预先设置的用户交互界面，于是待配置用户在掌握该初始配置信息后，根据其想要配置到的目标权限，和/或，操作系统的目标安全等级(即为根据操作系统的总机保护决定的安全等级，比如目标安全等级为1级时，可以开放哪些权限，目标安全等级为2级时，相较于所述1级，将有一些权限不再面向用户开放)，进而接收到反馈的、表征各权限的配置信息进行更新后的目标配置信息，实现方式简单可靠，保障了操作系统的安全。
73.作为一种优选的实施例，初始配置信息包括各已配置权限的用户的sid；
74.控制显示模块显示初始配置信息之前，还包括：
75.将用户的sid作为第一参数，调用第一转换工具，以将用户的sid转换成对应的待显示字符串。
76.本实施例中，考虑到当初始配置信息包括各已配置该权限的用户的sid时，该sid通常比较复杂，为了便于更加直观的掌握，可以在控制显示模块显示初始配置信息之前，将用户的sid作为第一参数，调用第一转换工具，以将用户的sid转换成对应的待显示字符串。以windows操作系统为例，所述第一转换工具可以为lookupaccountsid函数。
77.作为一种优选的实施例，基于初始配置信息、目标配置信息及预设权限增删策略分别将各权限的初始配置信息更新至目标配置信息，包括：
78.针对第i个权限执行如下步骤，其中，1≤i≤权限的总个数：
79.s21：令j＝1；
80.s22：判断目标配置信息中是否存在初始配置信息中的第j个第一身份信息；若否，进入s23；若是，进入s24；
81.s23：基于表征权限移除的api将第j个第一身份信息移出，并进入s24；
82.s24：令j＝j 1，判断更新后的j是否大于初始配置信息中第一身份信息的总个数；若是，进入s25；若否，返回s22；
83.s25：令z＝1；
84.s26：判断初始配置信息中是否存在目标配置信息中的第z个第二身份信息；若否，进入s27；若是，进入s28；
85.s27：基于表征权限添加的api将第z个第二身份信息添加，并进入s28；
86.s28：令z＝z 1，判断更新后的z是否大于目标配置信息中第二身份信息的总个数；若是，结束循环；若否，返回s26。
87.本实施例中，给出了基于初始配置信息、目标配置信息及预设权限增删策略分别将各权限的配置信息更新至目标配置信息的具体步骤，请参照图2，可以理解的是，针对各个权限均执行上述s21至s28步骤，可实现将各个权限的配置信息更新至对应的所述目标配置信息，具体实现步骤见上述所述，此处不再赘述，可见，通过上述枚举确定的方式简单可靠地保证了对各权限的配置信息的更新。
88.需要说明的是，上述所述的：基于表征权限移除的api将第j个第一身份信息移出这一步骤中，以windows操作系统为例，所述表征权限移除的api为lsaremoveaccountrights这一系统api，其可以实现将指定的用户的sid移除当前权限所对
应的初始配置信息；上述所述的：基于表征权限添加的api将第z个第二身份信息添加这一步骤中，以windows操作系统为例，所述表征权限添加的api为lsaaddaccountrights这一系统api，其可以实现将指定的用户的sid添加至当前权限所对应的初始配置信息。
89.还需要说明的是，在进入s21步骤之前，需要保证初始配置信息及目标配置信息中所包括的信息类型的一致性，比如初始配置信息中包括的信息的类型均为sid信息类型，则对应的目标配置信息中包括的信息的类型也均为sid信息类型；再比如初始配置信息中包括的信息的类型均为用户的字符串信息类型，则对应的目标配置信息中包括的信息的类型也均为字符串信息类型。
90.作为一种优选的实施例，基于表征权限移除的api将第j个第一身份信息移出之前，还包括：
91.调用句柄获取工具获取用于全局使用的句柄；
92.基于表征权限移除的api将第j个第一身份信息移出，包括：
93.将句柄、第j个第一身份信息及第i个权限的标识信息作为第二参数调用表征权限移除的api，以将第j个第一身份信息移出第i个权限的初始配置信息；
94.基于表征权限添加的api将第z个第二身份信息添加，包括：
95.将句柄、第z个第二身份信息及第i个权限的标识信息作为第三参数调用表征权限添加的api，以将第z个第二身份信息添加至第i个权限的初始配置信息中。
96.本实施例中，考虑到在进行系统api调用时需要获取对应的句柄，于是，在基于表征权限移除的api将第j个第一身份信息移出之前，调用句柄获取工具获取用于全局使用的句柄，以windows操作系统为例，所述句柄获取工具为lsaopenpolicy函数，调用其以获取用于全局使用的lsa_handle。
97.于是，进而按照上述所述的方式，在确定当前权限的初始配置信息中存在多余的第j个第一身份信息时，将句柄、第j个第一身份信息及第i个权限的标识信息作为第二参数调用表征权限移除的api，以将第j个第一身份信息移出第i个权限的初始配置信息；在确定当前权限的初始配置信息中缺少第z个第二身份信息时，将句柄、第z个第二身份信息及第i个权限的标识信息作为第三参数调用表征权限移除的api，以将第z个第二身份信息添加至第i个权限的初始配置信息中，实现方式简单可靠。
98.还需要说明的是，在确定完成各所述权限的目标配置信息的更新时，可以调用句柄关闭工具以保证系统运行安全，具体的，以windows操作系统为例，所述句柄关闭工具为lsaclose函数，调用其以关闭所述全局使用的lsa_handle。
99.作为一种优选的实施例，当目标配置信息中的第z个第二身份信息为目标字符串时；
100.判断目标配置信息中是否存在初始配置信息中的第j个第一身份信息之前，还包括：
101.以第z个第二身份信息为第四参数，调用第二转换工具，以将第z个第二身份信息转换成对应的sid。
102.本实施例中，考虑到系统中存储的第一身份信息通常为用户的sid，即以sid信息类型进行存储，而接收到的反馈的目标配置信息通常为字符串信息类型的信息，因此，在判断目标配置信息中是否存在初始配置信息中的第j个第一身份信息之前，以第z个第二身份
信息为第四参数，调用第二转换工具，以将第z个第二身份信息转换成对应的sid，进而也便于后续调用权限移除的api以及调用权限添加的api时直接使用。
103.具体的，以windows操作系统为例，所述第二转换工具可以为lookupaccountname函数。
104.请参照图3，图3为本发明提供的一种权限分配系统的结构示意图。
105.该权限分配系统，包括：
106.第一确定单元31，用于确定当前操作系统中各权限的初始配置信息；
107.第一获取单元32，用于基于各初始配置信息获取表征各权限的配置信息进行更新后的目标配置信息；
108.第一配置单元33，用于基于初始配置信息、目标配置信息及预设权限增删策略分别将各权限的初始配置信息更新至目标配置信息，预设权限增删策略根据操作系统的api预先确定。
109.对于本发明中提供的权限分配系统的介绍请参照上述权限分配方法的实施例，此处不再赘述。
110.作为一种优选的实施例，所述第一确定单元31，具体包括：
111.第一调用单元，用于分别根据各所述权限的标识信息调用表征权限配置查询的api，以确定当前操作系统中各权限的初始配置信息。
112.作为一种优选的实施例，所述第一获取单元32，具体包括：
113.输出显示单元，用于控制显示模块显示所述初始配置信息；
114.反馈接收单元，用于接收反馈的表征各所述权限的配置信息进行更新后的目标配置信息，其中，所述目标配置信息基于所述操作系统的目标安全等级和/或待配置用户请求分配的目标权限确定。
115.作为一种优选的实施例，所述初始配置信息包括各已配置所述权限的用户的sid；所述第一获取单元32，还包括：
116.第一转换单元，用于在所述输出显示单元之前，将所述用户的sid作为第一参数，调用第一转换工具，以将所述用户的sid转换成对应的待显示字符串。
117.作为一种优选的实施例，所述第一配置单元33，具体包括：
118.第一赋值单元，用于针对第i个权限，令j＝1，以将第i个权限的配置信息更新至所述目标配置信息，其中，1≤i≤所述权限的总个数；
119.第一判断单元，用于判断所述目标配置信息中是否存在所述初始配置信息中的第j个第一身份信息；若否，触发移除调用单元；若是，进入第二判断单元；
120.所述移除调用单元，用于基于表征权限移除的api将第j个第一身份信息移出，并进入所述第二判断单元；
121.所述第二判断单元，用于令j＝j 1，判断更新后的j是否大于所述初始配置信息中第一身份信息的总个数；若是，触发第二赋值单元；若否，返回所述第一判断单元；
122.所述第二赋值单元，用于令z＝1；
123.第三判断单元，用于判断所述初始配置信息中是否存在所述目标配置信息中的第z个第二身份信息；若否，触发添加调用单元；若是，触发第四判断单元；
124.所述添加调用单元，用于基于表征权限添加的api将第z个第二身份信息添加，并
触发第四判断单元；
125.所述第四判断单元，用于令z＝z 1，判断更新后的z是否大于所述目标配置信息中第二身份信息的总个数；若是，完成将第i个权限的配置信息更新至所述目标配置信息；若否，返回所述第三判断单元。
126.作为一种优选的实施例，所述第一配置单元33，还包括：
127.句柄调用单元，用于在所述移除调用单元之前，调用句柄获取工具获取用于全局使用的句柄；
128.所述移除调用单元，具体包括：
129.第二调用单元，用于将所述句柄、第j个第一身份信息及第i个权限的标识信息作为第二参数调用表征权限移除的api，以将第j个第一身份信息移出第i个权限的初始配置信息；
130.所述添加调用单元，具体包括：
131.第三调用单元，用于将所述句柄、第z个第二身份信息及第i个权限的标识信息作为第三参数调用表征权限添加的api，以将第z个第二身份信息添加至第i个权限的初始配置信息中。
132.作为一种优选的实施例，，当所述目标配置信息中的第z个第二身份信息为目标字符串时；所述第一配置单元33，还包括：
133.第二转换单元，用于在所述第一判断单元之前，以第z个第二身份信息为第四参数，调用第二转换工具，以将第z个第二身份信息转换成对应的sid。
134.请参照图4，图4为本发明提供的一种权限分配装置的结构示意图。
135.该权限分配装置，包括：
136.存储器41，用于存储计算机程序；
137.处理器42，用于执行如上述所述的权限分配方法的步骤。
138.对于本发明中提供的权限分配装置的介绍请参照上述权限分配方法的实施例，此处不再赘述。
139.本发明还提供了一种计算机可读存储介质，包括：
140.所述计算机可读存储介质上存储有计算机程序，所述计算机程序被处理器执行时实现如上述所述的权限分配方法的步骤。
141.对于本发明中提供的计算机可读存储介质的介绍请参照上述权限分配方法的实施例，此处不再赘述。
142.本说明书中各个实施例采用递进的方式描述，每个实施例重点说明的都是与其他实施例的不同之处，各个实施例之间相同相似部分互相参见即可。对于实施例公开的装置而言，由于其与实施例公开的方法相对应，所以描述的比较简单，相关之处参见方法部分说明即可。
143.还需要说明的是，在本说明书中，诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者
设备所固有的要素。在没有更多限制的情况下，由语句“包括一个
……”
限定的要素，并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
144.专业人员还可以进一步意识到，结合本文中所公开的实施例描述的各示例的单元及算法步骤，能够以电子硬件、计算机软件或者二者的结合来实现，为了清楚地说明硬件和软件的可互换性，在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件方式来执行，取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能，但是这种实现不应认为超出本发明的范围。
145.结合本文中所公开的实施例描述的方法或算法的步骤可以直接用硬件、处理器执行的软件模块，或者二者的结合来实施。软件模块可以置于随机存储器(ram)、内存、只读存储器(rom)、电可编程rom、电可擦除可编程rom、寄存器、硬盘、可移动磁盘、cd-rom、或技术领域内所公知的任意其他形式的存储介质中。
146.对所公开的实施例的上述说明，使本领域专业技术人员能够实现或使用本发明。对这些实施例的多种修改对本领域的专业技术人员来说将是显而易见的，本文中所定义的一般原理可以在不脱离本发明的精神或范围的情况下，在其他实施例中实现。因此，本发明将不会被限制于本文所示的这些实施例，而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。